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Proced^, ..'systi&me, dispositif destmis' a prouver ra^atlieiintidt^ d'mie 
entity et/o«i I'integrite el/oa ramthemticit^ d'lm message msx m©yems de 
facteurs premiers particaliers. 

La presente invention concerne le domaine technique des precedes, des 
systemes ainsi que des dispositifs destines a prouver I'authenticite d'une 
entit6 et/ou l'integrit6 et/ou Tauthenticite d'un message. 
Le brevet EP 0 311 470 Bl dont les inventeurs sont Louis Guillou et Jean- 
Jacques Quisquater decrit un tel proced6. On y fera ci-apres reference en le 
d^signant par les tennes : "brevet GQ" ou "precede GQ". Par la suite on 
designera parfois par "GQ2", "invention GQ2" ou "technologic GQ2" de 
nouveaux developpements de la technologic GQ faisant Tobjet des 
demandes pendantes deposees le meme jour que la presente demande par 
France ra6com, TDF et la Society Mathrizk et ayant pour inventeur Louis 
GuiUou et Jean-Jacques Quisquater. Les traits caracteristiques de ces 
demandes pendantes sont rappeles chaque fois que cela est n^cessaire 
dans la description qui suit. 

Selon le proc6d6 GQ, une entite appelee " autorite de confiance " attribue 
line identity k chaque entite appelee " temoin " et en calcule la signature 
RSA; durant un processus de personnalisation, I'autorite de confiance 
donne identite et signature au tdmoin. Par la suite, le temoin proclame : 
" Void mon identite ; j'en connais la signature RSA. " Le t6moin prouve 
sans la reveler qu'il connait la signature RSA de son identite. Grace h la cle 
publique de verification RSA distribuee par I'autorite de confiance, une 
entite appelee " controleur " verifie sans en prendre connaissance que la 
signature RSA correspond k I'identite proclamee. Les mecanismes utilisant 
le procede GQ se deroulent " sans iransfert de connaissance Selon le 
procede GQ, le temoin ne connait pas la cle privee RSA avec laquelle 
Tautorite de confiance signe un grand nombre d'identit6s. 
La technologic GQ precedemment decrite fait appel a la technologic RSA. 



Mais si la technologie RSA depend bel et bien de la factorisation du 
module n, cette dependance n'est pas une equivalence, loin s'en faut, 
comme le demontrent les attaques dites "multiplicatives*' contre les 
diverses nonnes de signature numerique mettant en oeuvre la technologie 
RSA. 

L'objectif de la technologie GQ2 est double : d'une part, ameliorer les 
performances par rapport a la technologie RSA ; d'autre part, eviter les 
problemes inherents a la technologie RSA. La connaissance de la cle privee 
GQ2 est equivalente a la coimaissance de la factorisation du module n. 
Toute attaque au niveau des triplets GQ2 se ramene k la factorisation du 
module n : il y a cette fois equivalence. Avec la technologie GQ2, la charge 
de travail est reduite, tant pour Tentite qui signe ou qui s'authentifie que 
pour celle qui contrdle. Grace a un meilleur usage du probleme de la 
factorisation, tant en s^curite qu'en performance, la technologie GQ2 evite 
les inconv6nients presentds par la technologie RSA. 
Le procede GQ met en oeuvre des calculs modulo des nombres de 512 bits 
ou davantage. Ces calculs concement des nombres ayant sensiblement la 
meme tmlle eleves a des puissances de rordre de 2*^ + 1. Or les 
infiastructures microelectroniques existantes, notamment dans le domaine 
des cartes bancaires, font usage de microprocesseurs auto-programmables 
monolithiques depourvus de coprocesseurs arithmStiques. La charge de 
travail li6e aux multiples operations arithmetiques impliquees par des 
precedes tels que le procede GQ, entraine des temps de calcul qui dans 
certains cas s'avdrent penalisant. pour les consommateurs utilisant des 
cartes bancaires pour acquitter leurs achats. II est rappele id, qu*en 
cherchant k accroitre la seciuit6 des cartes de paiement, les autorites 
bancaires posent un probldme particulierement d^licat a resoudre. En effet, 
il faut traiter deux questions apparemment contradictoires : augmenter la 
securite en utilisant des cles de plus en plus longues et distinctes pour 



chaque carte tout en evitant que la charge de travail n'entraine des temps 
de calcul prohibitifs pour les utilisateurs. Ce probleme prend un relief 
particulier dans la mesure oii, en outre, il convient de tenir compte de 
rinfiastructure en place et des composants microprocesseurs existants. 
La technologie GQ2 apporte une solution a ce probleme tout en renforpant 
la securite. 

La technologie GQ2 met en oeuvre des facteurs premiers ayant des 
propri6tes particulieres. DifferCTtes techniques existent poiu- produire ces 
facteurs premiers. La presente invention a pour objet un procede 
permettant de produire de maniere systematique de tels facteurs premiCTs. 
Elle conceme aussi Tapplication qui pent §tre faite de ceux-ci plus 
particulierement dans la mise en oeuvre de la technologie GQ2, On 
souligne des a present que ces facteurs premiers particuliers et le procede 
permettant de les obtenir sont susceptibles d'application en dehors du 
champ de la technologie GQ2. 

L'invention s'applique k un proc6d6 Q)roc6d6 GQ2) destine a prouver a 
une entite controleur, 

- Tauthenticite d'lme entite et/ou 

- rintegrite d'lm message M associe a cette entite. 

Cette„ preuve est etablie au moyen de tout ou partie des paramdtres 
suivants ou derives de ceux-ci: 

- un module public n constitue par le produit de f facteurs premiers P|, 
P25 Pf (i^ ^tont superieur ou egal a 2), 

- un exposant public v ; 

- m nombres de base gj, gj, entiers, distincts, (m etant superieur 
ou egal k 1). 

Les nombres de base gj sont tels que les deiox equations (1) et (2) : 

5^ = giraodn et s^s-gmodn 
n'ont pas de solution en x dans Taimeau des entiers modulo n. 



m ^ • 



et tel que requation (3 ): 

= mod n 

a des solutions en x dans I'anneau des entiers modulo n . 
Le precede selon Tinvention permet de produire les f facteurs premiers Pj , 
P2,' - • • Pf- sorte que les equations (1), (2) et (3) soient satisfaites. Le 

proc6d6 selon Tinvention comprend Tetape de choisir en premier : 

• les m nombres de base g,^, gi,, . • . gm» 

• la taille du module n, 

• la taille des f facteurs premiers pj , pj^, . . . Pf. 

Le procede conceme le cas ou I'exposaht public v est de la forme : 

v = 2^ 

ou k est un parametre de s6curite plus grand que L On choisit ^galement 
en premier le parametre de securite k. Cette valeur particuliere de 
l^exposant v est un des traits essentiels de la technologie GQ2. 
De preference, les m nombres de base gi^, gj^, ... sont choisis au moins 
en partie parmi les premiers nombres entiers. De preference egalement, le 
parametre de securite k est un petit nombre entier, notamment infdrieur k 
100. Avantageusement, la taille du module n est superieure a plusieurs 
centaines de bits. Avantageusement egalement, les f facteurs premiers Pj , 
P2,5 • Pf ^® ts^e voisine de la taille du module n divise par le nombre f 
de facteurs. 

Selon ime caract6ristique importante du proced6 selon Tinvention, les f 
facteurs premiers p,^, Pj^, ... p, ne sont pas choisis de manidre quelconque. 
Parmi les f facteurs premiers p, , pj,, . . . un certain nombre d'entre eux : e 
seront choisis congrus k 1 modulo 4. Ce nombre e de facteurs premiers 
pent etre nuL Dans le cas ou e est nul le module n sera ci-apres qualifie de 
module basique, dans le cas ou e > 0 le module n sera ci-aprds qualifie de 
module mixte, Les f-e autres facteurs premiers sont choisis congrus k 3 
modulo 4. Ce nombre f-e de facteurs premiers eist au moins egal a 2. 



CboBi des f-e facteurs presniers cosagr^s a 3 modulo 4 
Poiir produire les f-e facteurs premiers Pi^, p v • Pf-e congnis a 3 modulo 4, 
on met en oeuvre les 6tapes suivantes : 

- on choisit le premier facteur premier Pj congru a 3 modulo 4 puis, 

- on choisit le deuxidme facteur premier pj tel que Pj soit 
complementaire de Pi par rapport au nombre de base gj. 

Pour choisir le facteur Pn-i , on procede comme suit en distinguant deux 
cas: 

(1) Cas oui>m 

Dans le cas ou i> m, on choisit le facteur pj+i congru k 3 modulo 4. 

(2) Casoui<m 

Dans ce cas ou i< m, on calcule le profil (Pro£ili(gj)) de & par rapport aux i 
premiers facteurs premiers p,, 

• si le ProfiI|(gi) est plat, on choisit le facteur Pn-i tel que Pi+j soit 
compl6mentaire de Pi par rapport k gj, 

• sinon, on choisit parmi les i-1 nombres de bases gi, gj, ... gj.i et 
toutes leurs combinaisons mxdtiplicatives le nombre, ci-apr6s d^ommS g, 
tel que PrGfilj(g) = Profili(gi), on choisit ensuite Pi^j tel que Profilj+iCgi) ^ 
Profili,i(g)- 

Les expressions "complementaire", "profil", "profil plat" ont le sens 
d^fini dans la description. 

Pour choisir le dernier facteur premier p^.^ on procede conraie suit, en 
distinguant trois cas : 

(1) Casouf-e-l>m 

Dans le cas ou f-e-1 > m, on choisit p^^^ congm a 3 modulo 4, 

(2) Cas ou f-e-1 =m 

Dans le cas ou f-e-1 = m, on calcule Profil^^iCg^ par rapport aux f-e-1 
premiers facteurs premiers, de pj a Pf^^ 

• si ProfOf.e-i(gni) ^st plat, on choisit Pf^, tel qu'il soit 



complemehtiaif e de pj par rapport a , - 

• sinon, on procede comme il est ci-apr6s stipule. 
On choisit parmi les m-l nombres de bases de g| a g^.j et toutes leurs 
combinaisons multiplicatives le nombre, ci-apres denomme g, tel que 
ProffiljCg) = Profili(gi) puis, on choisit ensuite Pf.^ tel que Proffilf.g(g) ;t 
ProfBlr^(gJ. 

(3)Casouf-e'l<m 
Dans le cas ou f-e-1 < m, on choisit Pf^ tel que les deux conditions 
suivantes soient satisfaites : 

(3.1) Premiere condition. 

On calcule Profilf^j(gf^i) par rapport aux f-e-1 premiers facteuis premiers, 
de pj a Deux cas sent alors a considerer. Selon Tun ou T autre de ces 
deux cas, la premiere condition sera differente. 

Si Profil|:^i(gf.e.i) est plat, on choisit p^^ tel qu'il satisfasse a la premiere 
condition d'etre complementaire de pj par rapport a g^^i (premi&re 
condition selon le premier cas) sinon, on choisit pamii les f-e-1 nombres de 
bases de gi k g^,i et toutes leurs combinaisons multiplicatives le nombre, ci- 
apres denomme g, tel que Profi!i(g) = P*'ofilf,^.j(gf.e.i) puis, on choisit 
ensuite p^^ tel qu'il satisfasse a la condition d'etre tel que Profi!f.e (g) * 
ProfiIf^(g^, (premiere condition selon le deuxieme cas) 

(3.2) Deuxieme condition 

On selectionne parmi Tensemble des demiers nombres de bases de gf^ a gn, 
ceux dont le profil Profil^^j(gi) est plat puis, on choisit Pf^ tel qu'il 
satisfasse a la condition d'etre complementaire de P| par rapport a chacun 
des nombres de bases ainsi selectionnes (deuxieme condition). 

Chois des e facteurs premiers congnas a 1 modulo 4 
Pour produire les e facteurs premiers congrus a 1 modulo 4, on evalue 
chaque candidat facteur premier p , de p^^ a p^ , en lui feisant subir les deux 
tests successifs suivants. 



(1) Premier test 

On calcule le symbole de Legendre de chaque nombre de base gj de g, a 
g„ , par rapport au facteur premier p candidat, 

• si le symbole de Legendre est egal a -1, on rejette le candidat p, 

• si le symbole de Legendre est 6gal a +1, on poursmt revaluation du 
candidat p en passant au nombre de base suivant puis, lorsque le dernier 
nombre de base a ete piis en compte on passe au deuxieme test, 

(2) Deuxieme test. 

On calcule un nombre entier t tel que p-1 est divisible par 2' mais pas par 
2'*' puis, on calcule un entier s tel que s = (p-l+2V2***. 
On applique la cle ( s, p) i chaque valeur publique Gi pour obtenir un 
resultat r 

r s Gj'modp 

Si r est egal a gi ou - gi , on poursuit le deuxieme test en passant a la valeur 
publique G,+i suivante. 

Si r est different de g, ou - gi , on calcule un facteur u en appliquant 
Talgorithme ci-aprfes specific pour im indice ii allant de 1 a t-2. 
L'algorithme met en oeuvre deux variables : w initialisee par r et jj = 2" 
prenant des valeurs allant de 2 a 2''^ , ainsi qu'un nombre b obtenu par 
I'application de la cl€ ( (p-l)/2*, p) a un residu non quadratique de CG(p). 
L'algorithme consiste a repeter autant que n^cessaire, la sequence 
suivante: 

• Etape 1 : on calcule w^/Gj (mod p). 

• Etape 2 : on eleve le resultat a la puissance 2''"''. Deux cas sont a 
consid6rer. 

Premier cas 

Si on obtient +1 , on passe k la valeur publique G|+i suivante et on poursuit 
le deuxieme test pour cette valeur publique. 
Deuxieme cas. 



Si on obtieiit -1, on calculejj = 2" pxiis; on remplace w par w.b" (mod p). 
Ensuite, on poursuit Talgorithme pour la valeur suivante de Tindice ii. 
A Tissue de ralgorithme, la valeur figiurant dans la variable jj permet de 
calculer un nombre entier u par la relation jj = 2^"" puis, on calcule 
I'expression t-u. Deux cas se presentent : 

• si t-u < k , on rejette le candidal p 

• si t-u ^ k, on continue revaluation du candidat p en passant k la 
valeur publique Gj+j suivante puis, en poursuivant le deuxieme test 

Le candidat p est accepte comme facteur premier congru k 1 modulo 4 si a 
IMssue du deuxidme test, pour toutes les m valeurs publiques G| , il n*a pas 
ete rejete, 

Application aux valeurs publiques et privies de GQ2 
La presente invention conceme ^galement xm proc6de (proc6d6 GQ2) 
faisant application du proced6 qui vient d'etre decrit et qui permet, 
rappelons le, de produire f facteurs premiers Pi, pj,, ... Pf ayant des 
propri^tes particulieres, Le procede faisant application du proced^ qui 
vient d'etre decrit est destine k prouver a une entite controleur, 

- Tauthenticite d'une entite et/ou 

- rintegrit6 d'un message M associe a cette entite, 

Cette preuve est 6tablie au moyen de tout ou partie des param^tres 
suivants ou derives de ceux-ci: 

- m couples de valeurs privees Q„ Qj, Q„ et publiques G„ G^, ... 
Gro (ra etant sup6rieur ou egal a 1), 

- le module public n constitue par le produit desdits f facteurs premiers 
Pi, Pi, Pf (f 6tant superieur ou egal a 2), 

- I'exposant public v . 

Ledit module, ledit exposant et lesdites valeurs sont lies par des relations 
du type : 

G| . Qi^ = 1 . mod n ou G| = Qi^'mod n . 



Ledit expesant v est tel que 

v = 2* 

ou k est vm pafametre de s6curite plus grand que 1 . 

Ladite valeur publique Gj est le cair^ du nombre de base g, inferieur aux 
ffacteuis premiers Pi, Pj, ... Pr Le nombre de base & est tel que les deux 
equations : 

x^5g{inodn et x^s-gimodn 

n'ont pas de solution en x dans I'anneau des entiers modulo n et tel que 
I'equation : 

x^^gi^modn 

a des solutions en x dans I'anneau des entiers modulo n. 

Ledit procede met en ceuvre selon les etapes suivantes une entity appel6e 

temoin. Ladite entit6 t6moin dispose des f facteurs premiers p, et/ou des 

parametres des restes chinois des facteurs premiers et/ou du module public 

n et/ou des m valeurs privees Q, et/ou des f.m composantes Q^j (Qi. j s Q| 

mod pj) des valeurs privees Q,et de I'exposant public v . 

Le temoin calcule des engagements R dans Tanneau des entiers modulo n . 

Chaque engagement est calcule : 

• soit en effectuant des operations du type 

R^r^modn 
ou rest vm alcatel que 0 < r< n, 

• soit en effectuant des operations du type 

R,= ri''modpi 

ou r, est un alea associe au nombre premier Pj tel que 0 < Fj < pj , chaque 
appartenant a une collection d'aleas {r, , r, , ... r,}, puis en appliquant la 
methode des restes chinois. 

Le temoin regoit un ou plusieurs defis d. Chaque defi d comportant m 
entiere d, ci-apres appeles defis elementaires. Le temoin calcule a partir de 
chaque defi d une reponse D, 



• soil' en "effectuant des operations du type : 

D s r . Q/K Qj Q„ mod n 

• soit en effectuant des operations du type : 

puis, en appliquant la methode des restes chinois. 

Le precede est tel qu'il y a autant de r^ponses D que de defis d que 
d' engagements R, chaque groupe de nombres R, d, D constituant un 
triplet note {R, d, D}. 

De preference, poxir mettre en oeuvre, conune il vient d'etre decrit, les 
couples de valeurs privees Qj, Qj, Q„ et publiques Gj, Gj, G„ , on 
utilise les facteurs premiers P|, p^, ... Pf et/ou les paramdtres des restes 
chinois, les nombres de bases g|, et/ou les valeurs publiques G^, 

G2, ... G„ pour calculer : 

- soit les valeurs privies Qi, Qa, ... Qm extrayant une k ieme racine 
carr6e modulo n de G| , ou en prenant I'inverse d'une k i^me racine carree 
modulo n de G|, 

- sort les f.m composantes privies Qj^ j des valeurs privies Q„ Q^, 

Q^, telles que Q,^^^ Q, (mod p^) , 

Plus particnlierement, pour calculer les f.m composantes privees j des 
valeurs privtes Qi, Q2, . .. Qm * 

• on applique la cl^ ( Pj ) pour calculer z tel que 

zsGi'(modpj) 

- et on utilise les valeurs t et u , 

Les valeurs t et 11 sent calcul^es comme il a ete indique ci-dessus dans le 
cas ou Pj est congni a 1 modulo 4. Les valeurs t et u sont prises 
respectivement egales k 1 (t==l) et 0 (u==0) dans le cas ou pj est congm a 3 
modulo 4. 

Si la valexu: u est nul, on considere I'ensemble des nombres zz tels que : 
• • • zz soit egale a z ou tel que 




^ • • a 2Z soit egale au produit (modpj) de z par chacune des 
2"'* racines 2" iemes primitives de Tumte, ii allaiat de 1 a min(k,t) • 
Si II est positi^ on coosidere rensemble des nombres zz tels que zz soit 
egale au produit (mod pj) de za par chacune des 2^ lacines 2^ iemes de 
Timit^, za designant la valeur de la variable w a Tissue de Talgorithme d- 
dessus decrit. 

On en deduit an moins une valeur de la composante Qj^ j. EUe est egale a zz 
lorsque Tequation Gj = mod n est utilisee ou bien elle est ^gale a 
rinverse de zz modulo pj de zz lorsque I'equation Gj . s 1 . m©d la est 
utilisee. 



• # 



Description . - 

Rappelons I'objectif de la technologic GQ : rauthentification dynamique 
d'entit6s et de messages associes, ainsi que la signature num6rique de 
messages. 

La version classique de la technologic GQ fait appel a la technologic RSA. 
Mais, si la technologic RSA depend bel et bien de la factorisation, cette 
dependance n'est pas une equivalence, loin s'en faut, comme le demontrent 
les attaques dites « multiplicatives » contre diverses normes de signature 
numerique mettant en oeuvre la technologie RSA. 

Dans le cadre de la technologic GQ2, la presentc partie de I'invention porte 
plus precis6ment sur la production f l^s jenx de cles G02 destines k assurer 
rauthentification dynamique et la signature numerique. La technologie 
GQ2 ne fait pas appcl a la technologie RSA. L'objectif est double : d'une 
part, am^liorer les performances par rapport k la technologie RSA ; d'autre 
part, eviter les probldmes inhercnts a la technologie RSA. La cle privee 
GQ2 est la factorisation du module n. Toute attaque au niveau des triplets 
GQ2 se ramene k la factorisation du module n : il y a cette fois Equivalence. 
Avec la technologie GQ2, la charge de travail est reduite, tant pour I'entite 
qui signe ou qui s'authentifie que pour celle qui controle. Gr§ce a un 
meiUeur usage du probleme de la factorisation, tant en security qu'en 
performance, la technologie GQ2 concurrence la technologic RSA. 
La technologie GQ2 utiUse un ou plusieurs petits nombres enticrs plus 
grands que 1, disons m petits nombres enticrs (m > 1) appeles « nombres de 
base » et notes par g. Puis, on choisit une cle publique de verification <v, n) 
de la maniere suivante. L'exposant pubUc de verification v est 2* ou * est un 
petit nombre entier plus grand que 1 {k>2). Le module public n est le 
produit d'au morns deux facteurs premiers plus grands que les nombres de 
base, disons /facteurs premiers (f> 2) notes paipj, dQp,...p^ Les/facteurs 
premiers sont choisis de fagon a ce que le module public n ait les propriet6s 
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suivantes par rapport a chacun des m nombres de base de g, a g„. 

- D'une part, les Equations (1) et (2) n'ont pas de solution en x dans 
I'anneau des entiers modulo n, c'est-a-dire que g, et -g, sont deux r6sidus 
non quadratiques (mod n). 

=gi (mod n) (1) 
jc^ = -gi (mod ri) (2) 

- D'autre part, Tequation (3) a des solutions en x dans I'anneau des entiers 
modulo n. 

x^" = g? (mod n) (3) 
Par la suite, ces propriet6s sont encore appel6es les principes GQ2. 
La cl6 pubUque de verification <v, n) 6tant fix6e selon les nombres de base 
de g, a g„ avec m > 1, chaque nombre de base g, deteraiine un couple de 
valeurs GQ2 comprenant une valeur pubUque et une valeur priv6e fir 
soit m couples not6s de G, k G„ Q„. La valeur publique G, est le carre du 
nombre de base g,: soit G, = g^. La valeur priv6e Q, est une des solutions k 
I'equation (3) ou bien I'inverse (mod n) d'une telle solution. 
De meme que le module n se decompose en/facteurs premiers, I'anneau 
des entiers modulo n se decompose en / corps de Galois, de CG(p,) a 
CG(p). Voici les projections des equations (1), (2) et (3) dans CG(p). 
x^=gi (mod pj) (l a) 

x^^-gi (mod pj) (2.a) 
x^" ^gf (mod/;,) (3.a) 
Chaque valeur privee Q, pent se representer de maniere unique par / 
composantes privees, une par facteur premier : = Q, (mod p). Chaque 
composante privee est une solution a I'equation (3.a) ou bien I'inverse 
(mod Pj) d'une telle solution. Apres que toutes les solutions possibles k 
chaque'^quation (3.a) aient ^6 calculees, la technique des restes chinois 
permet d'etablir toutes les valeurs possibles pour chaque valeur privee a 
partir de/ composantes de ^ Q>/' Qi = ^^^^^ ^^'^^ ^"' - 



de maniere a obtenir toutes les solutions possibles a I'equation (3). 
Voici la technique des restes chinpis : soient deux nombres entiers positifs 
premiers entre eux aetb tels que 0 < a < fc, et deux composantes X^deOk 
a-1 et a; de 0 a ; il s'agit de determiner X= Restes Chinois (X^, X^, 
c'est-i-dire, le nombre unique A' de 0 h a.b-l tel que X^sX(moda) et 
X,=X(Tnodb). Voici le parametre des restes chinois : a ^ {b (mod a)}"' 
(mod a). Voici l'op6ration des restes chinois :b=X, (mod a) ; 5 = X„-e ; si 
5 est negatif, remplacer S par 5+a ; Y = a . 5 (mod a);X=y.b+X^. 
Lorsque les facteurs premiers sont ranges dans I'ordre croissant, du plus 
petit;?, au plus grand j?^ les param^tres des restes chinois peuvent 6tre les 
suivants (il y en a/-l, c'est-^-dire, un de moins que de facteurs premiers). 
Le premier parametre des restes chinois est a= {p^ (mod;?,)}'' (modp,). Le 
second parametre des restes chinois est p = {p,.p^ (mod;?,)} ' (mod;?,). Le / 
ieme paramdtre des restes chinois est X = {p^.Py -.-Pu-i (mod;?,)}'' (mod;?,). 
Et ainsi de suite. Ensuite, en f-\ operations des restes chinois, on etablit un 
premier r6sultat (mod p^ fois p,) avec le premier parametre, puis, un second 
resultat (mod;?,.;?^ fois a) avec le second paramdtre, et ainsi de suite, 
jusqu'a un resultat (mod p,. ... Pj_, foisp), c'est-a-dire, (mod «). 
L'objet de I'invention est une methode pour produire au hasard n'importe 
quel jeu de cles GQ2 parmi tous les jeux possibles, a savoir : 

- produire au hasard n'importe quel module parmi tous les modules GQ2 
possibles, c'est-a-dire, les modules assurant que, pour chacun des m 
nombres de base g., les equations (1) et (2) n'ont pas de solution en x 
dails I'anneau des entiers modulo n alors que I'equation (3) en a. 

- calculer toutes les solutions possibles a chacune des Equations (3. a). La 
technique des restes chinois pennet ensuite d' obtenir une valeur priv^e 
e, a partir de chaque jeu de / composantes de Q,, a de mani^e k 
obtenir n'importe quelle solution en x a I'equation (3) parmi toutes les 
solutions possibles. 



- Q. = Restes Chinois (g^i, Q,.2' • • • QJ 
Pour apprehender le probleme, puis, comprendre la solution que nous 
donnons au probleme, c'est-a-dire, I'invention, nous analysons tout d'abord 
rappUcabilite des principes de la technologic GQ2. Commen9ons par 
rappeler la notion de rang dans un corps de Galois CG(p) afm d'etudier les 
fonctions « elever au carr6 dans CG(p) » et « prendre une racine carree d'un 
residu quadratique dans CG(p) ». Puis, analysons I'existence et le nombre 
de solutions en x dans CG(p) aux Equations (1 .a), (2.a) et (3 .a). 
Rang des ^l^ments dans CG(p) 

Soit un nombre premier impair petvn nombre entier positif a plus petit que 

p. D6fimssons la suite {X}. 

{X }={xi=a; puis, pour />1, Xf+jsajc,- (modp) } 
Calculous le tenne pour I'indice i+p et utilisons le th6or6me de Fermat. 

Xi+p = aP-Xi^a^i=Xi+i (modp) 
Par consequent, la periode de la suite {X} est p-l ou un diviseur dep-l. 
Cette periode depend de la valeur de a. Par definition, cette p6riode est 
appelee « le rang de a (mod p) ». C'est I'indice d'apparition de I'unite dans 
la suite {X} . 

Par exemple, lorsque (p-l)/2 est un nombre premier impair/;', le corps de 
Galois CG(p) comporte un seul Element de rang 1 : c'est 1, un seul 
element de rang 2 : c'est -l,p'-l Elements de rangp',;; -1 616ments de 
rang 2 .p ', c' est-a-dire, de rang p-l. 

Les Elements de CG(p) ayant pour rang p-l sont appeles les 616ments 
« primitifs » ou encore, « gendrateurs » de CG(p). La denomination est due 
au fait que leurs puissances successives dans CG(p), c'est-a-dire, les termes 
de la suite {X} pour les indices allant delkp-l, forment une permutation 
de toils les elements non nuls de CGO). 

Soit un element primitif y de CG(p). Evaluons le rang de I'eiement y' 



(mod/7) en fonction de i et de p-l. Lorsque i est premier avec/7-1, c'est 
p-1. Lorsque i divise p-l, c'est (p-l)//. Dans tous les cas, c'est 
(p-l)/pgcd(p-l, O- 

La fonction d'Euler est not^e par (p. Par definition, n etant un nombre entier 
positif, cp(/i) est le nombre de nombres entiers positifs, plus petits que n et 
premiers avec /i. Dans le corps CG(p). il y a done <p(p-l) elements 
primitifs. 

A titre d' illustration, voici la base de la technologic RSA. Le module public 
n est le produit de /facteurs premiers, de p, kp^avecf> 2, tel que pour 
chaque facteur premier i?., I'exposant public v est premier avec p-l. La cle 
<v, p) respecte le rang des 616ments de CG(p) : elle les permute. La 
permutation inverse s'obtient par une c\€ {sj,p) telle que/7,-1 divise vs-\ . 
Carres et racines carries dans CG(p) 

Les elements x et p-x ont le meme carre dans CG(p). La cle <2, p) ne 
permute pas les Elements de CG(p) parce que p-\ est pair. Pour chaque 
nombre premier p, d^finissons un nombre entier t de la mani^re suivante : 
p-\ est divisible par 2', mais pas par 2'^', c'est-a-dire que;? est congru k 2'+l 
(mod 2'"). Par exemple, t = 1 lorsque p est congru a 3 (mod 4) ; t = 2 
lorsque /7 est congru a 5 (mod 8) ; f = 3 lorsque;? est congru 9 (mod 16) ; 
t = 4 lorsque p est congru a 17 (mod 32) ; et ainsi de suite. Chaque nombre 
premier impair figure dans une et une seule cat6gorie : p figure dans la t 
ieme categoric. En pratique, si I'on considere un assez grand nombre de 
nombres premiers successifs, environ un sur deux figure dans la premiere 
categoric, un sur quatre dans la deuxieme, un sur huit dans la troisieme, un 
sur seize dans la quatrieme, et ainsi de suite ; en resume, un sur 2' en 
moyenne figure dans la t ieme categoric. 

Considerons le comportement de la fonction « elever au carre dans CG(p) » 
selon la parite du rang de I'argument. 

- II y a un seul Element fixe : c'est 1. Le carre de tout autre Element de 
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rang impair est un autre element avant le meme rang . Par consequent, la 
cle <2,p> permute I'ensemble des (p-l)/2' elements de rang impair. Le 
nombre de cycles de permutation depend de la factorisation de (p-l)/2'. 
Par exemple, lorsque (p-l)/2' est un nombre premier/? ', il y a un grand 
cycle de permutation comportant/? -1 Elements. 
- Le carre de tout el6ment de rang p^ est un autre 616ment dont le rang 
pst Hivise nar deux . Par consequent, les elements de rang pair se 
repartissent sur (p-l)/2' branches ; chaque element non nul de rang 
impair porte une branche de longueur t comportant 2-1 616ments, a 
savoir : un 616ment de rang divisible par deux mais pas par quatre, puis, 
si f ^ 2, deux elements de rang divisible par quatre mais pas par huit, 
puis, si t>3, quatre 61ements de rang divisible par huit mais pas par 
seize, puis, si r > 4, huit elements de rang divisible par seize mais pas 
par 32, et ainsi de suite. Les 2"' extr6mites de chaque branche sont des 
residus non quadratiques ; leur rang est divisible par 2'. 
Le dessin suivant illustre la fonction « Clever au carre dans CG(p) » par un 
graphe oriente ou chacun des p-l elements non nuls du corps trouve sa 
place : les residus non quadratiques sont en blanc et les residus quadratiques 
en noir ; parmi les residus quadratiques, les elements de rang impair sont 
encercles. 



Cas ou p est congru a 3 (mod 4) Cas ou p est congru a 5 (mod 8) 





Cas Qup est congru a 9 (mod 16) Cas oup est congru k 17 (mod 32) 
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Voyons comment calculer une solution en x a I'equation = a (mod/?) 
sachant que a est im residu quadratique de CG{p), c'est-a-dire, conmient 
« prendre une racine carree dans CG(p) ». II y a bien sur plusieurs fafons 
d'obtenir le meme resultat : le lecteur pourra avantageusement consulter les 
pages 31 a 36 du livre de Henri Cohen, a Course in Computational 
Algebraic Number Theory, pubU6 en 1993 par Springer a Berlin conmie le 
volume 138 de la serie Graduate Texts in Mathematics (GTM 138). 
Calculons un nombre entier s = {p-l+iyi'"' pour etablir une cl6 (s, p). 
Soit : <(p+l)/4,/7) lorsque p est congru a 3 (mod 4), <(p+3)/8,p) lorsque/? 
est congru a 5 (mod 8), <(p+7)/16, p) lorsque p est congru a 9 (mod 16), 
((p+15)/32,/?) lorsque p est congru a 17 (mod 32), et ainsi de suite. 
- La cl6 <s, p) donne la racine carree de rang impair de n'importe quel 
element de rang impair. En effet, dans CG(p), ria vaut a 61eve k la 
puissance (2.(p-l+2')/2 '*')-l = (^^-0/2'. Par consequent, lorsque a est 
sur un cycle, la cl6 p) transforme a en une solution que noiis 
nommons w. L'autre solution QsXp-w. 
. D'une maniere g6n6rale, la cl6 <j, p) transforme tout r6sidu quadratique 
a en une premiere approximation de solution que nous nommons r. 
Voici deux points cles, puis, I'ebauche d'une methode pour ameliorer 
pas k pas I'approximation jusqu'a une racine carree de a. 

- D'lme part, puisque a est im residu quadratique, la cle (2'"', p) 
transforme certainement rVa en 1. 

- D'autre part, supposons que nous connaissons un residu non 
quadratique de CG(p) que nous nommons y ; la cle <(p-l)/2', p) 
transforme;' en un element que nous nommons b : c'est ime racine 
2"' ieme de -1 ; en effet, y"^'"^ = -1 (mod/?). Par consequent, dans 
CG(p), le groupe multiplicatif des 2' racines 2' i^mes de l'unit6 est 
isomorphe au groupe multiplicatif des puissances de b pour les 
exposants de 1 a 2'. 



19 



- Poxir se rapprocher d'une racine -carr6e de a, 61evons rIa a la 
puissance 2'"' (mod p)\ .le resultat est +1 ou -1. La nouvelle 
approximation reste r si le resultat est +1 ou bien devient b.r (mod 
p) si le resultat est -1. Par consequent, la cle (2"', pi transforme 
certainement la nouvelle approximation en 1. On peut continuer ^ 
se rapprocher: au prochain pas, on ajustera s'il le faut en 
multipliant par fc' (mod p) ; et ainsi de suite. 
L'algorithme suivant etablit des approximations successives pour aboutir a 
une racine carree de a a partir des nombres entiers r et definis ci-dessus ; 
il utilise deux variables entieres : w initialisee par r pour repr&enter les 
approximations successives etyj prenant des valeurs parmi les puissances de 
2,de2a2^'. 

Pour / allant de 1 f-2, r^peter la sequence suivante : 

- Calculer wVa (mod p\ puis, 61ever le r6sultat a la puissance 2^' (mod^^) : 

on doit obtenir +1 ou -1. Lorsque I'on obtient -1, calculer i/ = 2', puis, 

remplacer w par w.Z/ (mod p). Lorsque I'on obtient +1, ne rien faire. 

A Tissue du calcul, w et p-y^ sont les deux racines carries de a dans CG(p). 

En outre,- nou« .apprenons que le rang de a dans CG(p) est divisible par 2'//y 

mais pas ^fljj. La pertinence de cette remarque apparaitra par la suite. 

Analyse des principes de la technologie GQ2 dans CG(p) 

Soit deux nombres entiers gtXk plus grands que 1 et un nombre premier p 

plus grand que g. Analysons I'existence et le nombre de solutions en a: dans 

CG(p) aux equations (La), (2.a) et (3 .a). 

Dans le corps de Galois CG(p), distinguons differents cas selon la valeur de 
U c'est-a-dire, selon la puissance de deux qui divisei>-L Rappelons que/^1 
est divisible par 2', mais pas par r\ c'est-a-dire que/, est congm a 2'+l 
(mod 2"'). L'analyse pr6c6dente nous donne une idee assez precise du 
probleme pose ainsi qu'une ebauche de solution. 

Lorsque t = \,p est congm a 3 (mod 4). Les symboles de Legendre de g et 



-g par rapport k/> sont differents ; tout residu quadratique de CGO?) a deux 
racines carrees dans CG(p) : Tune est un residu quadratique et 1' autre un 
residu non quadratique. D'une part, una des deux equations (l.a) ou (2.a) a 
deux solutions en x dans CG(p) et Tautre n'en a pas. D'autre part, 
l'6quation (3 .a) a deux solutions enx dans CG(p) quelle que soit la valeur 
de k. 

Lorsque t = 2,p est congru a 5 (mod 8). Deux cas se presentent selon le 
symbole de Legendre de g par rapport kp. Lorsque le symbole vaut -1, et 
-g sont deux residus non quadratiques de CG(p) : les trois equations (l.a), 
(2.a) et (3.a) n'ont pas de solution en x dans CG(p). Lorsque le symbole 
vaut +1, g et -g sont deux residus quadratiques de CG(p), chaque 6quation 
(l.a) et (2.a) a deux solutions en x dans CG(p) ; de plus, le rang de g' dans 
CG(p) est impair, ce qui impUque que queUe que soit la valeur de k, 
l'6quation (3 .a) a quatre solutions en jc dans CG(p) dont une seule de rang 
impair. 

Le dessin suivant illustre les solutions a I'equation (3 .a) avec k = 6 et p 
congru k 5 (mod 8), soit t = 2. Remarquons que, parce que le symbole de 

Legendre de 2 par rapport a p congru a 5 (mod 8) vaut -1 , 2^'"* (mod/?) est 
alors ime racine carree de —1 . 



z.betz.b^ 




21 



Lorsque / = 3, p est congra a 9 (mod 16). Considerons le symbole de 
Legendre de g par rapport a p. Lorsque le symbole vaut -1, g et -g sont 
deux residus non quadratiques de CG(p) : les trois equations (l.a), (2.a) et 
(3 .a) n'ont pas de solution en x dans CG(p). Lorsque le symbole vaut +1, g 
et -g sont deux r6sidus quadratiques de CG(p) ; chaque Equation (l.a) et 
(2.a) a deux solutions en x dans CG(p) ; I'existence de solutions ea x k 
I'equation (3.a) depend du rang de g dans CG(p) : ce rang est impair ou 
divisible par deux, mais pas par quatre. Lorsque le rang de g dans CG(p) 
est divisible par deux, mais pas par quatre, I'equation (3 .a) a quatre 
solutions en X dans CG(p) pour ^ = 2 ; elle n'en a pas pour ^ > 3. Lorsque le 
rang de g dans CG(p) est impair, I'equation (3 .a) a quatre solutions en x 
dans CG(p) pour Ar = 2 et huit pour k>3; dans les deux cas, une seule est 
de rang impair. 

Lorsque t = 4, p est congru a 17 (mod 32). Considerons le symbole de 
Legendre de g par rapport k p. Lorsque le symbole vaut -1, g et -g sont 
deux residus non quadratiques de CG(p) : les trois equations (l.a). (2.a) et 
(3. a) n'ont pas de solution en x dans CG(p). Lorsque le symbole vaut +1, g 
et -g sont deux residus quadratiques de CG(p) ; chaque Equation (l.a) et 
(2.a) a deux solutions en x dans CG(p) ; I'existence de solutions en x a 
I'equation (3.a) depend du rang de g' dans CG(p) : ce rang est impair ou 
divisible par deux ou quatre, mais pas par huit. Lorsque le rang de g' dans 
CGO?) est divisible par quatre, mais pas par huit, I'equation (3 .a) a quatre 
solutions en x dans CG(p) pour ^ = 2 ; elle n'en a pas pour A: > 3. Lorsque le 
rang de g' dans CG(p) est divisible par deux, mais pas par quatre, I'equation 
(3.a) a quatre solutions en x dans CG(p) pour A: = 2 ou huit pour = 3 ; elle 
n'en a pas pour k > 4. Lorsque le rang de g' dans CG(p) est impair, 
I'equation (3.a) a quatre solutions en x dans CG(p) pour k = 2, huit pour 
k = 3et seize pour k>4 \ dans les trois cas, une seule est de rang impair. 
Et ainsi de suite, de sorte que le cas ou p est congru a 1 (mod 4) pent se 
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resumer comme suit. 

Lorsque p est congru a 1 (mod 4), considerons le symbole de Legendre de 
g par rapport a p. Lorsque le symbole vaut -1, g et -g sont deux r6sidus non 
quadratiques de CG(p) : les trois equations (l.a), (2.a) et (3.a) n'ont pas de 
solution en X dans CG(p). Lorsque le symbole vaut +1, g et -g sont deux 
residus quadratiques de CG(p) ; chaque Equation (l.a) et (2.a) a deux 
solutions en x dans CG(p). D6finissons le nombre entier u : le rang de g 
dans CG(p) est divisible par 2\ mais pas par 2"*'; la valeur de u figure 
parmi les t-\ valeurs possibles, de 0 t-2. L'existence et le nombre de 
solutions en X dans CG(p) k I'equation (3 .a) depend des valeurs de K t et u. 
Lorsque « est positif et k est superieur k t-u, I'equation (3.a) n'a pas de 
solution en X dans CG(p). Lorsque u est nul et k superieur k t, r^quation 
(3.a) a 2' solutions en x dans CG(p). Lorsque k inferieur ou 6gal a t-u, 
I'equation (3 .a) a 2* solutions enx dans CG(p). 

ApplicabiUte des principes GQ2 dans les anneaux d'entiers modulo 

Pour que I'equation (1), respectivement (2), n'ait pas de solution en x dans 
I'anneau des entiers modulo n, il faut et il suffit que, pour au moins un des 
f.r.tenrs premiers p, de p, kp^ I'equation (l.a), respectivement (2.a), n'ait 
pas de solution en x dans CG(p). 
% 20 Pour que I'equation (3) ait des solutions en x dans I'anneau des entiers 

modulo n, il faut et il suffit que, pour chacun des facteurs premiers de p, 
kpp I'equation (3 .a) ait des solutions enx dans CG(p). 
L'equation (3) interdit tout facteur premier/? congru 1 (mod 4) dfes que 
pour run des nombres de base g, de g,kg^: ou bien. le symbole de 
Legendre de g par rapport a p est egal a -1 ; ou bien, le symbole de 
Legendre de g par rapport p est egal a +1 avec la condition : u positif et 
sup6rieur a t-k. Pour qu'un facteur premier p congru k 1 (mod 4) soit 
possible, il doit remplir I'une des deux conditions suivantes pour chacun 
des nombres de base g, de g. a g„, selon les deux nombres entiers t et u 
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d6finis ci-dessus. Ou bien, le rang de G = est impair dans CG<», c'est-^- 
dire, m = 0, quelle que soit la valeur de k. Ou bien, le rang de G = g^^ est pair 
dans CG(p)y c'est-a-dire, t/ > 0, et il satisfait la condition :u + k<t. 
Un produit de facteurs premiers congrus k 1 (mod 4) ne peut assurer 
rensemble des principes de la technologic GQ2. Chaque module GQ2 doit 
avoir au moins deux facteurs premiers congrus a 3 (mod 4) tels que, pour 
chaque nombre de base g, le symbole de Legendre de g par rapport a I'un 
diffl^re du symbole de Legendre de g par rapport a 1' autre. Lorsque tous les 
facteurs premiers sont congrus a 3 (mod 4), on dira que le module GQ2 est 
basique. Lorsqu'en plus d'au moins deux facteurs premiers congrus k 3 
(mod 4), le module inclut un ou plusieurs facteurs premiers congrus a 1 
(mod 4), on dira que le module GQ2 est mixta. 
Construction systdmatique de modules GQ2 

Au depart, il faut fixer les contraintes globales k imposer au module n : une 
taille en bits (par exemple, 512 ou 1024 bits) ainsi qu'un nombre de bits 
successifs a 1 en poids forts (au moins un bien sur, typiquement 16 ou 32 
bits), un nombre /de facteurs premiers et un nombre e (pouvant etre nul) de 
fficteiarF. premiers devant etre congrus a 1 (mod 4); les autres facteurs 
prXySi, soit/^ facteurs, au moins deux, doivent etre congrus a 3 (mod 4). 
Le module n sera le produit de / facteurs premiers de tailles voisines. 
Lorsque e=0, on obtient un module GQ2 basique; lorsque e>0, on 
obtient un module GQ2 mixte. Un module basique est le produit de facteurs 
premiers tous congrus a 3 (mod 4). Un module GQ2 mixte apparait done 
rnmme le p mHuit d'un mo< ^ 11lp cni hasioue par un ou plusieurs autres 
fartPiirs nremiep ^ ^"" fmis k 1 Tmod 4). On produit d'abord des facteurs 
premiers congrus a 3 (mod 4). Ensuite, si e > 0, on produit des facteurs 
premiers congrus a 1 (mod 4). 

Pmir Veffic^rM^ de la copstniction de mn Hnle.^ 002. il vaut hien mieux 
c^u^ti-onnftr rhaq ue capdidat avant dP chercher a savoir s'il est premier. 



Not6s par g, .:. , les nombres de base- figurent typiquement parmi les 
premiers nombres premiers : 2, 3^5, 7, ... Faute d'indication contraire, les 
m nombres de base sont les m premiers nombres premiers : = 2, ^ 3, 
g^ = 5,g^ = ^, ... Toutefois, notons les remarques suivantes : il faut eviter 2 
si Ton escompte \m facteur congm k 5 (mod 8) ; il faut 6viter 3 si I'on doit 
utiliser la cl6 publique <3, n) comme cle pubUque de verification RSA. 
Choix de f-e facteurs premiers congnis k 3 (mod 4) 
A partir du dexrxieme facteur, le programme demande et utilise un nombre 
de base par facteur. Pour le choix du dernier facteur congru a 3 (mod 4), le 
programme demande s'il y a d'autres nombres de base, c'est-a-dire, si m est 
egal ou sup6rieur a f-e, puis, si tel est le cas, demande et prend en compte 
les demiers nombres de base, de g^, ^ g„. Pour formaliser le choix des 
facteurs premiers congnis h 3 (mod 4), nous avons introduit une notion de 
profil ; le profil caracterise un nombre entier g par rapport a un ensemble 
de facteurs premiers plus grands que g et congnis a 3 (mod 4). 

- Lorsqu'un nombre entier g a le meme symbole de Legendre par rapport k 
deux facteurs premiers, on dit que les facteurs premiers sont ^quivaleqt$ 
par rapport a g. Sinon, ils sont mmplpmentaires par rapport a g. 

- Note par Profil/g), le profil d'un nombre entier g par rapport ^/facteurs 
premiers p,p^...Pf est une sequence de/bits, un bit par facteur premier. 
Le premier bit vaut 1 ; chaque bit suivant vaut 1 ou 0 selon que le facteur 
suivant est equivalent ou complementaire de/?, par rapport a g. 

- Lorsque tons les bits d'un profil sont 6gaux §i 1, on dit que le profil est 
plat . Dans vin tel cas, tous les symboles de Legendre de g sont egaux a 
+1, ou bien, a -1. Lorsque le profil de g est non plat, les equations (1) et 
(2) n'ont pas de solution enx dans I'anneau des entiers modulo n. 

- Par definition, le profil de g par rapport k un seul nombre premier congru 
a 3 (mod 4) est toujours plat. Cette extension permet de generaliser 
I'algorithme de choix des facteurs premiers congnis k 3 (mod 4). 
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Lorsque les profik de deux nombres de base g. et g, sont differents. ce qui 
implique au moins trois factews premiers congrus k 3 (mod 4), la 
comiaissance des deux valeurs privees Q, et induit la comiaissance de 
deux decompositions differentes du module n. Lorsque les nombres de base 
sont des petits nombres premiers, le programme assure que les profils des 
2^'-l combinaisons multipUcatives des f-e-\ premiers nombres de base 
sont tous differents : ils prennent toutes les valeurs possibles. T .a notion de 
prf^fil ne s'ete nrl pas aux fac tenTs premiers oonprus a 1 (mod 4) . 
Premier facteur premier p. congru a 3 (mod 4) : Chaque candidat doit 
6tre congru k 3 (mod 4), sans autre contrainte particuliere. 
Deuxieme facteur premier a congru k 3 (mod 4) avec prise en compte du 
premier nombre de base g. : Chaque candidat doit etre complementaire de/.. 
par rapport kg^. 

Troisiime facteur premier a congru a 3 (mod 4) avec prise en compte du 
deuxieme nombre de base : Selon le profil de par rapport aux deux 
premiers facteurs premiers p, et p,, deux cas se presentent. Lorsque 
Profil,(g^ est plat, chaque candidat doit etre complementaire de p, par 
rapport h g, Sinon, on a Profil,(g.) = Profil,(g,) ; chaque candidat doit alors 
assiirer que 

Profil3(g.)5^Profil3(g^. 
Choix du / ifeme facteur premier/;,, congru a 3 (mod 4) avec prise en 
compte du nombre de base g, : Selon le profil de g, par rapport aux i 
premiers facteurs premiers./.,, />„... P, deux cas se presentent. Lorsque 
Profil,(g,) est plat, chaque candidat doit etre complementaire de p, par 
rapport a g, Sinon, parmi les f-1 nombres de base g„ g„ ... et toutes 
leurs combinaisons multipUcatives, g,.g„ .... g.-gr ■ • • ^oit en tout 2 -1 
nombres entiers, il existe un nombre entier g et un seul tel que Profil,(g^ = 
Profil.(g) ; chaque candidat doit alors assurer que Profil,,,(g,) ^ ProfiV,(g). 
Dernier facteur premier/,^ congru a 3 (mod 4) avec prise en compte du 
nombre de base g^. et des autres nombres de base de g^ a g„ : On prend en 
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compte les contraintes dues au nombre de base tout comme ci-dessus. 
En outre, lorsque m est ^gal ou superieur a /-e, chaque candidat doit assurer 
un profil non plat aux demiers nombres de base, de k par rapport aux 
f-e facteurs premiers. Chaque candidat doit etre compl6mentaire de /?, par 
rapport a tous les g, pour lesquels Profil^,(g) est plat. 
En resume, les facteurs premiers congrus k 3 (mod 4) sent choisis les 
uns en fonction des autres. 

Pour / allant de 0 k y^-1, pour choisir le z+l ieme facteur premier congru a 
3 (mod 4), le candidat pi+i doit passer avec succes I'examen suivant : 
✓ Si z > m ou si i = 0, alors le candidat ptn n'a pas d'autre contrainte ; il 
est done accepte. 

^ Si 0 < I < m, alors le candidat pn-i doit prendre en compte le i ibme 
nombre de base gi. On calcule le profil Profil,<^i) du nombre de base gi 
par rapport aux i premiers facteurs premiers, depi kpi. Selon le r^sultat, 
un et im seul des deux cas suivants se presente : 

- Si le profil est plat, alors le candidat pi+i doit etre compl6mentaire de 
/>i par rapport a gi ; sinon, il faut le rejeter. 

Sinon, parmi les /-I nombres de base et toutes leurs combinaisons 
multiplicatives, il y a im et un seul nombre que nous nonmions g tel 
que Profili(g) = Profil,<gi) ; alors le candidat pt^i doit etre tel que 
Profili+i(g) ^ Profil/+ifei) ; sinon, il faut le rejeter. 
^ Si i+l =f-e et z < m, c'est-a-dire, pour choisir le demier facteur premier 
congru k 3 (mod 4) lorsqu'il reste des nombres de base, de g/-^ k qui 
n'ont pas encore et6 pris en compte, le candidat doit les prendre en 
compte : parmi ces demiers nombres de base, on selectionne ceux dont le 
profil ProfiV_e-i(g/) est plat ; le candidat doit etre complementaire de 
pi par rapport k chacim des nombres de base ainsi selectionn6s ; sinon, il 
faut le rejeter. 

Le candidat est accepte lorsqu'U a passe avec succes les tests appropri^s. 
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Choix de e facteurs premiers congrus a 1 (mod 4) 

Pour 6tre acceptable, chaque candidat p congru a 1 (mod 4) doit remplir les 

conditions suivantes par rapport a chaque nombre de base de ^, i g„. 

. Evaluons le symbole de Legendre de chaque nombre de base g, par 
rapport \p. Si le symbole vaut -1, rejetons le candidat/? pour passer k 
un autre candidat. Si le symbole vaut +1, poursuivons revaluation du 
candidat. Notons que si le nombre entier 2 est utilise comme nombre de 
base, alors tous les candidats congrus ^ 5 (mod 8) doivent etre ecartes : 
le nombre de base 2 est incompatible avec un facteur congru i 5 
(mod 8). 

- Calculous un nombre entier s = pour 6tablir une cle ^.p). 

Appliquons la cl6 (s, p) a chaque valeur publique G, pour obtenir un 
resultat r. Deux cas se presentent. 

- Si r vaut g, ou -g,, alors m = 0. Dans ce cas et dans ce cas settlement, 

est sur un cycle. Remarquons un cas trivial : G, est sur un cycle 
d^s lors que p est congra a 5 (mod 8) et que le symbole de 
Legendre de g, par rapport a p vaut +1. Rappelons que = 4 est 
impossible dans ce cas. 

- Si r ne vaut ni g, ni -g,, alors u > 0 ; notons que la cle ((p-l)/2', p) 
. transfonne tout residu non quadratique en un element h qui est 

une racine 2' ieme primitive de I'unite. L'algorithme suivant calcule 
M ^ partir de r et en utilisant deux variables entieres : w initiaUsee 
par r et jj prenant des valours de 2 a 2'"^ 
Pour i allant de 1 a r-2, repeter la sequence suivante : 
- Calculer wVG, (mod p> puis, 61ever le r6sultat a la puissance T'' 
(modi?,) : on doit obtenir +1 ou -1 . Lorsque I'on obtient -1, calculer = 2', 
puis, rmplacer w par >v.Z/ (mod/?;. Lorsque Ton obtient +1, ne rien faire. 
A Tissue du calcul, la variable w a pour valeur g, ou -g- De plus, nous 
Savons que le rang de G, dans CG(p,) est divisible par Hij] mais pas par 



2'*'ljj, c'est-a-dire que jj determine la valeur de u psijj = 2'^, Lorsque v est 
plus ^d que jj\ c'est-a-dire, k > t-u, rejeter le candidat pour passer a un 
autre. Lorsque v est plus petit ou egal ayj, c'est-a-dire, k < t-u, poursuivre 
revaluation du candidat. 

5 Lorsque les/facteurs premiers ont 6te produits, le module public n est le 

produit des / facteurs premiers p,, .../V L'entier non sign6 n peut se 
representer par une sequence binaire; cette sequence respecte les 
contraintes imposees au debut du programme pour la taille en bits et pour le 
nombre de bits successifs a 1 en poids forts. Le choix des facteurs premiers 

,0 assure les propridtes suivantes du module n par rapport a chacun des m 

nombres de base g,, g,, ... g„. D'une part, les equations (1) et (2) n'ont pas 
de solution en x dans I'anneau des entiers modulo n. D'autre part, 
r equation (3) a des solutions en x dans I'anneau des entiers modulo n. 
En resume, les facteurs premiers congrus & 1 (mod 4) sent choisis 

15 independamment les uns des autres. Mors que les facteurs congrus a 3 

(mod 4) premient en compte progressivement les nombres de base, chaque 
facteur premier congru a 1 (mod 4) doit prendre en compte I'ensemble des 
contraintes imposees par chacun des nombres de base. Chaque facteur 
premier congru ^ 1 (mod 4), soitp, de;;^ a/?/, doit avoir passe avec succes 

20 r examen suivant en deux Stapes. 

1) L'etape (1) s'execute successivement pour chacun des m nombres 

debasede^i a^,„. 

On calcule le symbole de Legendre du nombre de base courant g par 
rapport au candidat Un et un seul des deux cas suivants se presente : Si le 
25 symbole vaut -1, on rejette le candidat. Sinon (le symbole vaut +1), on 

poursuit I'examen en passant au nombre de base g suivant h. I'etape (1). 
Lorsque le candidat est acceptable pour I'ensemble des m nombres de base, 
on passe a I'^tape (2). 

2) L'etape (2) s'execute successivement pour chacune des m valeurs 
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publiques de (ji a 

On calcule un entier t tel que p-\ est divisible par 2' mais pas par 2^^ , puis, 
un entier s = 07-l+2V2^', de fa?on a etablir une cle is,?). On applique la 
cle {,,p) ^ la valeur publique courante G-i pour obtenir un resultat r, 
soit: V = C7' (mod;?). Selon le resultat, un et un seul des deux cas 

suivants se presente : 

a) Si r est 6gal a g ou a alors u = 0 ; on poursuit 1' examen du candidat 
en passant a la valeur pubUque G suivante a I'etape (2). 

b) Sinon, on calcule un nombre u positif, prenant une des valeurs de 1 a 
t-2 en appliquant I'algorithme suivant qui met en oeuvre deux 
variables Jj prenant des valeurs allant de 2 a et w initialis6e par r 
ainsi qu'un nombre entier b obtenu en appUquant une cle {{p-m\p) 

un residu non quadratique de CG(p). 

Pour un indice ii allant de 1 a t-2, on r6p6te I'operation suivante : 
On calcule w^lG (mod/;), puis, on appUque une cle {T^'-Kp) au 
resultat pour obtenir +1 ou -1 (sinon, on a une preuve que le 
candidat n'est pas premier). Si I'on obtient -1, alors on calculeO/ 
= 2" puis, c = y (mod p\ puis, on remplace w par w.c {moAp) , 
puis', on passe a I'indice ii suivant. Si I'on obtient +1, on passe a 

rindice ii suivant. 
A Tissue de I'algorithme, la valeur figurant dans la variableO^' definit u 
par la relationi/" = 2'"" ; la valeur figurant dans la variable w est une 
racine carree de G, c'est-a-dire, g ou -g (sinon, on a une preuve que le 
candidat n'est pas premier). Deux cas se presentent : 

■ Si t-u < K alors on rejette le candidat p parce que la branche ou 
figure G n'est pas assez longue. 

■ Sinon it-u > k), on poursuit revaluation du candidat en passant a 
la valeur publique G suivante a I'etape (2). 

Lorsque le candidat est acceptable pour r ensemble des m valeurs pubHques, 
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il est accepte comme facteur premier congm a 1 (mod 4). 
Calcul des valeurs associees 

Pour obtenir les composantes privees, calculons toutes les solutions a 
r^quation (3.a) dans les deux cas les plus simples et les plus courants avant 
d'aborder le cas general. 

Pour chaque facteur premier congm k 3 (mod 4), la cle <(p,+l)/4, p) 
donne la racine carree quadratique de n'importe quel r^sidu quadratique. On 
en deduit une maniere de calculer une solution a I'equation (3.a) : 

s. = ((p,+l) / 4)* (mod (p-l)/2) ; puis, Q,, = Gf (modp) 
ou bien plutot, I'inverse (modp) d'une teUe solution. 

= (p-\)/2-((Pj+l) 1 4)* (mod (p-l)/2) ; puis, s (mod/;,) 
Dans CQip), il y a alors deux et seulement deux racines carrees de I'unite : 
+1 et -1 ; 'il y a done deux solutions en a I'equation (3 .a) : les deux 
nombres Q,^ et pj-Q^^ ont le m6me carr6 G, (mod/;,). 

Pour chaque facteur premier /?, congm i 5 (mod 8), la cle <(p,+3)/8, p) 
donne la racine carree de rang impair de n'importe quel element de rang 
impair. On en d6duit luie solution a I'equation (3 .a) : 

s. = ((p^+3) / 8)* (mod {p-\ )/4) : puis, Q„ = Gf (mod p) 
ou bien plutot, I'inverse (mod/r) d'une teUe solution. 

=.(p.-l)/4-((p,+3) / 8/ (mod (p-m) ; puis, = Gf (modp,) 
Dans CGip), il y a alors quatie et seulement quatie racines quatriemes de 
I'unite ; il y a done quatre solutions enx a I'equation (3.a). Remarquons que 
2^^-'^* {modp) est une racine carree de -1 parce que le symbole de Legendre 
de 2 par rapport a p congru h 5 (mod 8) vaut -1. Si est une solution, 
alors Pj-Q^ est une autre solution, ainsi que le produit (mod p) de par 
une racine carr6e de -1 . 

Pour un facteur premier p, congm a 2'+l (mod 2"'), la cle <(p-l+2')/2'^', 
p) donne la racine carree de rang impair de n'importe quel element de rang 
impair. On pent done calculer une solution a I'equation (3 .a). 
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Calculon. d'abord m nombre entier ^ ((p-H2'y2'y (mod (p-l)/20 
po\iretablirunecle^,Pj>. 

Lorsque la di «p -1+20/2"', p) tnmsforme G, en ou en - le rang de 
G es, impair dans CGip) (u = 0). Mors, la ol6 p) «nsfom.e G en m 
nombre z : c'est to solution de rang impair i I'^quation (3.a). Selon les 
valeurs de < e. de il y a encore min(2>-l. 2'-l) autres solutions sur une 
o„ plusieurs branches. La bnmche de porte une autte solution : c est 
„-z. Lorsque < 2 2, la branche de z' porte deux auties solutions : o e« le 
Iduit de z par chacune des deux racines carries de -1. c'est-a-dne, 
ohacune des deux racines quatritoes primitives de I'uniti. Or. si y est un 
^idu non quadratique de COip), alors, (mod p) est une racme 
carrfe de -1 . D-une maniire gfo&ale, pour i prenant chaque valeur de 1 
4 min(*. 0. la branche de la puissance 2' itoe de z porte 2^ ^« 
som les produits (mod p,) de z par chacune des t racmes 2^ 
primitives de rumt6. Or, si y est un rfeidu non quadratique de CG(p), 
alors, y ^ la puissance (p-lV? es, une racine t ifane primitive de -nnte 

. . 1 ^« 7'-' racines 2' iemes primitives de I'umte sont 
que nous nommons c. Les 2 racines ^ icmca v 

les puissances impaires de c : c, c' (mod p,), c= (mod p), ... c » la 

puissance 2-1 (modp^). 
. Lorsque la de <(p-H2)/2". p) "ansforme G, en un nombre entier r qm 
n-est ni ni le rang de G, est pair dans CO^) (" > 0). Alon^ a 
condition que G, soit convenablement plac. sur une branche a^ 
longue. c-est-^-dire. , £ * + ». il y a 2* solutions sur la branche ou figure 
G Po;r calculer une racine 2* itoe. il suffit de riit^r. * fo- de rang 
,4gorithme de calcul de racine carrie donn6 ci-d«sus, de fa,on a 
calculer les racines carries des r6sulta.s successifs jusqu'a une solution z. 
Ce calcul pen. bien sto etre optimist pour approcher direCemen, une 
^ine 2' itae et ajuster ensuite une seule tois rapproximation d une 
„cine 2- ieme pour atteindre une solution z. Pour obtenir toutes les auties 



solutions, remarquons tout d'abord que si;; est un residu non quadratique 
de CG(pj), alors, y a la puissance (p-l)/2* est une racine 2* ieme 
primitive de I'unite que nous nommons d. Les 2* racines 2* iemes de 
runit6 sent les puissances successives de d : d,<f (mod/r), ct (modp), 
5 ... a la puissance 2-1 (mod p), dkla puissance 2* (mod p) qui vaut 1 . 

Les 2" solutions sur la branche ou figure G, sont les produits (mod/;^.) de z 
par chacune de ces racines. 
En resume, pour calculer une composante pour le facteur premier/; et 
le nombre de base g, connaissant / et «, on precede comme suit : 
0 1) On calcule un nombre entier : s = ((p-l+2V2^')* (mod (p-l)/2') pour 

etablir une cle (s,/?). Puis, on appUque la cle (s,p) a G pour obtenir 
z = (7 (mod p). Selon la valeur de u, on passe a I'etape (2) ou (3). 
2) Si w = 0, z est la solution de rang impair a I'^quation (3 .a). II y a encore 
min(2*-l, 2-1) autres solutions de rang pair sur une ou plusieuis 
5 branches, tres exactement sur mm{k, f) autres branches. Pour i allant de 

1 a min(;fc, 0, la branche de la puissance 2' ieme de z porte 2^' solutions : 
ce sont les produits (mod p) de z par chacune des 2^' racines 2' i^mes 
primitives de I'unite. La solution generique a Tequation (3. a) est 
representee par zz. On passe k I'etape (4). 
10 3) Si M > 0, toutes les solutions a I'equation (3.a) sont de rang pair. II y en 

a 2* et elles figurent toutes sur la branche ou figure G ; en effet : t-u > k. 
Pour calculer une solution, I'algorithme suivant met en oeuvre deux 
variables :jj prenant des valeurs allant de 2 a 2'"^ et w initialise par z, 
ainsi qu'un nombre entier b obtenu en appUquant une cle {(p-l)/2',p) a 
25 im residu non quadratique de CG(p) . 

On repete k fois de rang la sequence suivante : 
Pour un indice ii allant de 1 k t-2, on repete I'operation suivante : 
On calcule \^^/G (mod p), puis, on applique une cl6 {2'-"-\p) au 
resultat pour obtenir +1 ou -1 (sinon, on a une preuve que p n'est 
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pas premier). Si I'on obtient -1, alors on caicvle jj = 2", puis, c = lf 
(mod p), puis, on remplace w par w.c (mod p) , puis, on passe a 
rindice a suivant. Si I'on obtient +1, on passe a I'indice ii suivant. ^ 
A Tissue de I'algorithme, la variable w a pour valeur za. Les 2* 
solutions sur la branche ou figure G sont les produits (modp) de za par 
chacune des t racines 2* iemes de I'unite. La solution generique k 
l'6quation (3 .a) est representee par zz. On passe k 1' 6tape (4). 
4) Connaissant zz, on en deduit une valeur de composante : c'est I'inverse 
de zz modulo p lorsque I'equation aQ' - 1 (niod n) est utUisee et zz 
lorsque I'equation 0 = ^ (mod n) est utilisee. 
Remarque. II y a diverses m^thodes pour obtenir les composantes privees 
et les valeurs privees. Comiaissant une collection de /composantes, c'est-i- 
dire les /composante pour un nombre de base domie, la technique des 
restes chinois permet de calculer la valeur privee correspondante. On voit 
ainsi que, pour une valeur publique G et un module n domi6s, il pent y avoir 
plusieurs valeurs privees Q possibles. II y en a quatre lorsque n est le 
produit de deux facteurs premiers congrus a 3 (mod 4) ; il y en a huit avec 
trois facteurs premiers congrus a 3 (mod 4) ; il y en a seize avec deux 
facteurs premiers congrus a 3 (mod 4) et un congm a 5 (mod 8). Un usage 
judicieux de ces multiples valeurs pent compliquer les attaques par analyse 
de la consommation electrique d'une carte a puce utilisant GQ2. 
Ainsi au fur et a mesure que t augmente, le programme se complique pour 
des cas de plus en plus rares. En effet, les nombres premiers se repartissent 
en moyemie comme suit : ^ = 1 pour un sur deux, ^ = 2 pour un sur quatre, 
^ = 3 pour un sur huit, et ainsi de suite. De plus, les contraintes dues aux m 
nombres de base rendent les candidatures de moins en moins acceptables. 
Quoi qu'U en soit, les modules mixtes font definitivement partie de la 
technologie GQ2 ; Ir ^ ye riu module GO?, n'affecte en rien les protocoles 
^'aiithentifi c^^^" HvnamiQue et de signature numerique . 
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Le dessin suivant illustre G. = gf sur un cycle avec un factexir premier p 
congru k 9 (mod 1 6), c'est-^-dire, ( = 3, « = 0, ainsi que A: > 3 . 




Le dessin suivant iUustre G, = sur une branche avec un facteur premier p 
congru k 65 (mod 128), c'est-a-dire, t = 6, ainsi que A:= 4 et « = 2. 



z. z.d. z.<P. z.eP, z.d*. z.iP. ... z.d" 




Voici un premier jeu de cles GQ2 avec k = 6, soit v = 64, m = 3, soit trois 
nombres de base : ^, = 3, = 5 et §3 = 7, et / = 3, soit un module k trois 
facteurs premiers : deux congrus 3 (mod 4) et un k 5 (mod 8). Notons que 
^ = 2 est incompatible avec un facteur premier congru a 5 (mod 8). 
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= 03CD2F4F21E0EAD60266D5CFCEBB6954683493E2E833 

(2 M = -1 ; (3 \p,) = +1 ; (5 M f= -1 ; (7 \p,) = +1 

= 0583B097E8D8D777BAB3874F2E76659BB614F985EC1B 

(2 I = -1 ; (3 1/7.) = -1 ; (5 Ii7.) = +1 ; (7 = -1 

P3 = 0C363CD93D6B3FEC78EE13D7BE9D84354B8FDD6DA1FD 

(2 1/7.) = -1 ; (3 1/7.) = +1 ; (5 1/7.) = +1 ; (7 1/7.) = +1 
n =/7. .p. ./'j = FFFF81CEA149DCF2F72EB449C5724742FE2A3630D9 
02CC00EAFEE1B957F3BDC49BE9CBD4D94467B72AF28CFBB26144 
CDF4BBDBA3C97578E29CC9BBEE8FB6DDDD 
e. , = 0279C60D216696CD6F7526E23512DAE090CFF879FDDE 
= 7C977FC38F8413A284E9CE4EDEF4AEF35BF7793B89 
= 6FB3B9C05A03D7CADA9A3425571EF5ECC54D7A7B6F 
Q.^ = 0388EC6AA1E87613D832E2B80E5AE8C1DF2E74BFF502 
= 04792CE70284D16E9A158C688A7B3FEAF9C40056469E 
= FDC4A8E53E185A4BA793E93BEE5C636DA731BDCA4E 
= 07BC1AB048A2EAFDAB59BD40CCF2F657AD8A6B573BDE 
= 0AE8551E116A3AC089566DFDB3AE003CF174FC4E4877 
0„ = 01682D490041913A4EA5B80D16B685E4A6DD88070501 
e =D7E1CAF28192CED6549FF457708D50A7481572DD5F2C335D8 
C69E22521B5 10B64454FB7A19AEC8D06985558E764C6991B05FC2A 

C74D9743435AB4D7CF0FF6557 

= CB1ED6B1DD649B89B9638DC33876C98AC7AF689E9D1359E4 

DB17563B9B3DC582D5271949F3DBA5A70C108F561A274405A5CB8 

82288273ADE67353A5BC316C093 

= 09AA6F4930E51A70CCDFA77442B10770DD1CD77490E3398A 

AD9DC50249C34312915E55917A1ED4D83AA3D607E3EB5C8B197 
697238537FE7A0195C5E8373EB74D 

Voici d'autres valeurs possibles pour les composantes U6es au facteur p, 
lequel est congm a 5 (mod 8). 



36 



Voici une racine carree de -1 dans CG(Pj) re = ^ (modp^) - 
0C3000933A854E4CB309213F12CAD59FA7AD775AAC37 

Q\j =c.0,^ (rnodp,) = 

050616671372B87DEC9AEEAC68A3948E9562F714D76C 
Gw = ^-i223(modp,) = 

06F308B529C9CE88D037D01002E7C838439DACC9F8AA 
e'M = ^-2„(°iod/73) = 

015BE9F4B92F1950A69766069F788E45439497463D58 
Ce qui dome : 

= 576DF1BA369FF306F4A1001602BCE5A008DB82882E87C148D0 
D820A71 1 121961C9376CB45C355945C5F2A9E5AFAAD7861886284A 
9B3 19F9E466521 1252D74580 

Q\ = CAEC4F41752A228CF9B23B16B3921E47C059B9E0C68634C2C 
64D6003156F30EF1BC02ADA25581C8FDE76AA14AB5CC60A2DE1C 

565560B27E8AA0E6F4BCA7FE966 

Q\ = 2ACDF5161FE53B68CC7C18B6AFE495815B46599F44C51A6A1 
A4E858B470E8E5C7D2200EF135239AF0B7230388A6A5BDD8EE15B 

OD094FC2BFA890BFDA669D9735 

Voici un second jeu de cl6s GQ2, avec k=9, soit v = 512, w = 2, soit deux 
nombres de base : = 2 et = 3, et/= 3, soit un module a trois facteurs 

premiers congrus a 3 (mod 4). 

= 03852103E40CD4F06FA7BAA9CC8D5BCE96E3984570CB 

(2 \p^) = -1 ; (3 = -1 ; et on trouve bien, (6 \p) = +1- 

= 062AC9EC42AA3E688DC2BC871C8315CB939089B61DD7 

(2 li^z) = +1 ; (3 = -1 ; et on trouve bien, (6 Ip^) = -1- 

^3 = 0BCADEC219F1DFBB8AB5FE808A0FFCB53458284ED8E3 

(2 \p^) = -1 ; (3 Ipj) = +1 ; et on trouve bien, (6 = -1. 

w=P..A-A = FFFF5401ECD9E537F167A80C0A9111986F7A8EBA4D 

6698AD68FF670DE5D9D77DFF00716DC7539F7CBBCF969E73A0C49 
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761B276A8E6B6977A21D51669D039F1D7 

, = 0260BC7243C22450D566B5C6EF74AA29F2B927AF68E1 
q\ = 0326C12FC7991ECDC9BB8D7C1C4501BE1BAE9485300E 
= 02D0B4CC95A2DD435D0E22BFBB29C5941 83O6F6CD0OA 
= 045ECB881387582E7C556887784D2671CA1 18E22FCF2 
= B0C2B1F808D24F6376E3A534EB555EF54E6AEF5982 
Q^^ = 0AB9F81DF462F58A52D937E6D81F48FFA4A87A9935AB 
0"=27F7B9FC82C19ACAE47F3FE956OC3536A7E9OF8C3C51E13C 
35F32FD8C6823DF753685DD63555D2146FCDB9B28DA367327DD6 

EDDA092D0CF108D0AB708405DA46 

0, = 230D0B9595E5AD388F1F447A69918905EBFBO591O582E5BA64 
9C94B0B2661E49DF3C9B42FEF1F37A7909B1C2DD54113ACF87C6 

Fl 1F19874DE7DC5D1DF2A9252D 



Dans la pr6sente demande, on a decrit un precede pour produire des jeux de 
cl6s GQ2, a savoir, des modules n et des couples de valeurs pubUque G et 
privee (2 dans le cas ou I'exposant v est 6^aV^.2\ C^es jeux de cl6s sont 
utiUses pour mettre en oeuvre un procede I'authenUcite 
d'une entity et/ou I'integrit^ et/ou 1' authenticity d'un message ainsi que cela 
a et6 decrit. 

Dans les demandes pendantes depos^es le meme jour que la pr6sente 
demande par France Telecom, TDF et la Societe Matb RiZK et ayant pour 
inventeurs Louis Guillou et Jean-Jacques Quisquater, les traits 
caractdristiques des proc6des, systemes et dispositifs destinfe i prouver 
I'authenticite d'une entite et/ou l'int6grite et/ou I'authenticite d'un message 
ont ete revendiques. Ces deux demandes sont incorporees ici par reference. 



" • ' • Revenoflfcatiom 
1« Dans un procede destine a prouver a une entite contidleur, 

- Tauthenticite d*une entite et/ou 

- I'integrite d'un message M associe a cette entite, 

au moyen de tout ou partie des parametres suivants ou derives de ceux-ci: 

- un modide public n constitue par le prcduit de f &cteurs premiers 
Pi' Pjy **« Pr supeneur ou egal a 2), 

- un exposant public v ; 

- m nombres de base gj, gj, ... gni entiers, distincts, (m etant superieur 
ou egal a 1), les nombres de base g| etant tel que : 

les deux equations (1) et (2) : 

x^ = gjmodn et ^^-gimodn 
n'ont pas de solution en x dans Tanneau des entiers modulo n, 
et tel que : 
Tequation (3): 

x^ = g^ mod n 

a des solutions en x dans Tanneau des entiers modido n ; 
le procede selon Tinvention pennettant de produire les f facteurs premiers 
Pi,3 Pz,* - Pf ^^^^ sorte que les equations (1), (2) et (3) soient satisfeites ; 
ledit procede comprenant Tetape de choisir en premier : 

• les m nombres de base g, , gj^, . • - gnp 

• la taille du module n, 

• la taille des f facteurs premiers p,^, P2,, • - Pf • 

2. Procede selon la revendication 1 tel que, dans le cas ou T exposant 
public V est de la forme : 

v = 2^ 

ou k est im parametre de securit6 plus grand que 1, on choisit egalement en 
premier le parametre de s6curit6 k. 

3. Procede selon Tune quelconque des revendications 1 ou 2 tel que 
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les mnombresrde base gj^, gm> sent choisis au moins en parde paimi 
les premiers nombres entiers. 

4. Precede selon Tune quelconque des revendications 2 ou 3, tel 
que le parametre de securite k est un petit nombre entier, notamment 
inferieur a 100. 

5. Precede selon Time quelconque des revendications 1 a 4, tel que 
la taiUe du module n est superieure a plusieurs centaines de bits. 

6. Precede selon Tmie quelconque des revendications 1 a 5, tel que 
les f facteurs premiers p^^, P2,? Pf voisine de la taille du 
module n divise par le nombre f de facteurs. 

7. Precede selon Tune quelconque des revendicatiens 1 a 6, tel que 
pamii les f facteurs premiers Pi , P2,, • • . Pf 

- on choisit un nombre e de facteurs premiers congrus a 1 modulo 4, 
e pouvant Stre nul (dans le cas ou e est nul le module n sera ci-apr6s 
qualifie de module basique, dans le cas ou e > 0 le module n sera ci-apres 
qualifie de module mixte), 

- les f-e autres facteurs premiers sont choisis congrus a 3 modulo 4, 
f-e etant au moins ^gal a 2. 

8. Precede selon la revendication 7 tel que pour produire les f-e 
facteurs premiers Pi^ Pi,, • • Pf-c cengrus a 3 modulo 4, 

on met en oeuvre les etapes suivantes : 

• on choisit le premier factexor premier p, congru a 3 modulo 4, 

- on choisit le deuxieme facteiu: premier tel que pj soit 
complementaire de pj par rapport au nombre de base gi, 

- on choisit le factem* Pi+i en procedant comme suit en distinguant 
deiix cas : 

(1) Casoui>m 

• on choisit le facteur pj+j congru a 3 modulo 4, 

(2) Casoui<m 



• oa calcule le profil (FroUlJ^sd) & rapport aux i 
premiers facteurs premiers p^, 

• si le Profili(gi) est plat, on choisit le facteur pj+i tel que Pi+j 
soit complementaire de Pi par rapport a gj, 

• sinon, on choisit paxmi les i-1 nombres de bases g^, g29 gj.i 
et toutes leurs combinaisons multiplicatives le nombre, ci-apres denomme g, 
tel que ProfiljCg) = Profilj(g|), on choisit ensuite p^-i tel que Profil,+i(gj) 
Profilj^i(g), 

(les expressions "complementaire", "profil", "profil plat" ayant le sens 
defini dans la description). 

9. Procede selon la revendication 8 tel que pour choisir le dernier 
facteiu- premier on procede comme suit, en distinguant trois cas : 

(1) Casouf-e-l >m 

• on choisit Pf^ congru a 3 modulo 4, 

(2) Casouf-e-l=m 

• on calcule Profil|^^j(g^) par rapport aux f-e-1 premiss 
facteurs premiers, de Pi a Pf^i^ 

• • si Profilf^,(g^) est plat, on choisit Pf.p.| tel qu'il soit 
complementaire de p^ par rapport a g„ , 

• • sinon, 

• • • on choisit paimi les ra-1 nombres de bases 
gi a gta-i toutes leurs combinaisons midtiplicatives le nombre, ci-aprds 

denomme g, tel que ProfiIj(g) = Profili(gi), puis 

• • • on choisit ensuite tel que Profil|. ^(g) ;it 

Profilf^(gJ, 

(3) Cas oil f-e-1 <m 

• on choisit Pf^ tel que les deux conditions suivantes soient 

satisfaites : 

(3.1) Premiere condition. 
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• on calcule Proffiif,e.i(gir-e-i) rapport aux f-e-1 premiers 
facteurs premiers, de Pi a p^^i^ 

• • si Profilr.e-l(g^e-l) est plat, on choisit tel qu'il 
satisfasse a la premiere condition d'etre complementaire de Pipar rapport a 

• • sinon, 

• • • on choisit parmi les f-e-l nombres de bases 
de gi a et toutes leurs combinaisons multiplicatives le nombre, ci-apres 
denomme g, tel que ProfiliCg) = Profil^.e.i(gf-e.i)5 P^is 

• • • on choisit ensuite Pf^tel qu'il satisfasse a la 
premiere condition d'etre tel que Profllf^(g) ^ Profilf^Cg J, 

(3.2) Deuxieme condition, 

• on selectionne parmi Tensemble des demiers nombres de 
bases de gf^ a g„ ceux dont le profil Profilf^,(gi) est plat, puis 

• on choisit Pf.e tel qu'il satisfasse a la deuxieme condition 
d'etre complementaire de p^ par rapport k chacun des nombres de bases 

ainsi selectionnes. 

10. Procede selon les revendications 8 ou 9 tel que pour produire les 
e facteurs premiers congrus a 1 modulo A, on evalue chaque candidat 
facteur premier p , de Pf.^ a Pf , en lui faisant subir les deux tests successifs 
suivants : 
(1) Premier test 

- on calcule le symbole de Legendre de chaque nombre de base gj ^ 
de gi a g„ , par rapport au facteur premier p candidat, 

• si le symbole de Legendre est egal a -1, on rejette le candidat 

• si le symbole de Legendre est egal a +1, on poursuit 
revaluation du candidat p en passant au nombre de base suivant, puis 
lorsque le dernier nombre de base a ete pris en compte on passe au 



deuxieme test,; 
(2) Deuxiane test, 

- on calcule un nombre entier t tel que p-1 est divisible par 2* mais 
pas par 2^* , puis 

- on calcule un entier s tel que s = (p-l+2V2*^^ , 

- on applique la cle ( s, p) a chaque valeur publique G| pour obtenir 
un resultat r 

rs Gi'modp 

• si r est egal a gj ou - g| , on poursuit le deuxieme test en 
passant a la valeur publique G^-i suivante, 

• si r est different de g| ou • g, , on calcule un facteur u en 
appliquant ralgorithme suivant : 

• • ralgorithme consiste a repeter la sequence suivante pour 
vn indice ii allant de 1 a t-2 : 

• • ralgorithme met en oeuvre deux variables : w initialisee 
par r et jj = 2" prenant des valeurs allant de 2 i 2*'^ , ainsi qu'im nombre b 
obtenu par I'application de la cle ((p-l)/2*, p) ^ un residu non quadratique 
de CG(p), puis, on itere les etapes 1 et 2 suivantes, 

• • • etape 1 : on calcule w^/Gj (mod p), 

• • • etape 2 : on eleve le resultat a la puissance 2*'"'^ 

• • • • si on obtient +1 , on poursuit le deuxieme 
test en passant a la valeur publique Gj+i suivante, 

• • • • si on obtient -1, on calcule jj = 2" , puis on 
remplace w par w.b^ (mod p), puis on poursuit Talgorithme pour la valeur 
suivante de Tindice ii, 

• • a Tissue de Talgorithme, la valeur figurant dans la variable 
jj permet de calculer un nombre entier u par la relation ij= 2^'" , pxiis on 
calcule r expression t-u, deux cas se presentent : 

• • • si t-u < k > on rejette le candidal p 
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9 • • si t-u > k, on continue revaluation du candidal p 
en poursuivant le deuxieme test en passant a la valeur publique 
suivante, 

le candidat p est accepte comme facteur premier congru a 1 modulo 4 si a 
Tissue du deuxieme test, pour toutes les m valeurs publiques G, , il n'a pas 
ete rejete. 

11. Procede faisant application du procede, selon Time quelconque 
des revendications 1 a 10, pennettant de produire f facteurs premiers p^^, P2,, 
. . . Pf , ledit procede etant destine a prouver a une entite controleur, 

- Tauthenticite d'vme entite et/ou 

- rintegrite d'un message M associe a cette entite, 

au moyen de tout ou partie des parametres suivants ou derives de ceux-ci: 

- m couples de valeurs privees Qi, Q2, Qm ®t publiques Gj, Gj, 
G„ (m etant superieur ou egal k 1), 

- le module public n constitue par le produit des f facteurs premiers 
Pi» P2> • • • Pf superieur ou egal a 2), 

- Texposant public v ; 

ledit module, ledit exposant et lesdites valeurs etant lies par des relations du 
type : 

G,.Qi^=l .modnouGiSQj^modn; 
ledit exposant v etant tel que 

v = 2*' 

ou k est un parametre de securite plus grand que 1 ; 

ladite valeur publique Gj etant le carre du nombre de base gj inferieur 
aux f facteurs premiers Pj, Pij • • • Po le nombre de base & etant tel que : 
les deux equations : 

x^ = gii3aodi> et x^s-g.modn 
n*ont pas de solution en x dans Fanneau des entiers modulo a 
ettel que : 



r equation : 

x"" = gi^ mod n 

a des solutions en x dans I'anneau des entiers modulo n 
ledit procede met en oeuvre selon les etapes suivantes une entite appelee 
temoin disposant des f facteurs premiers P| et/ou des parametres des restes 
chinois des facteurs premiers et/ou du module public n et/ou des m valeurs 
privees Qj et/ou des £m composantes Q,^ j (Qj^ j = Q mod pj) des valeurs 
privees Qi et de Texposant public v ; 

- le temoin calcule des engagements R dans I'anneau des entiers 
modulo & ; cbaque engagement etant calcule : 

• soit en efTectuant des operations du t3^e 

R^r'^modn 
ou rest un alea tel que 0 < r < n, 

• soit 

en effectuant des operations du type 
R|Sr|''modp| 

ou Fi est un alea associe au nombre premier p., tel que 0 < r, < , cbaque r, 
appartenant a une collection d'aleas {r, , , rj , 

puis en appliquant la methode des restes chinois ; 

- le temoin re?oit un ou plusieurs defis d ; cbaque defi d comportant 
m entiers d| ci-apres appeles defis elementaires ; le temoin calcule a partir de 
cbaque defi d une reponse D, 

» soit en effectuant des operations du type : 

D = r . . • . ^ mod n 

• soit 

en effectuant des operations du type : 

puis en appliquant la methode des restes chinois ; 
ledit procede etant tel qu'il y a autant de reponses D que de defis d que 
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d'engagements E, chaque groupe de nombres M, d, D constituant un 

triplet note {R,d,D}. 

12. Procede selon la revendication 11 tel que pour mettre en oeuvre 
les couples de valeurs privees Qi, Q2, ... Qm etpubUques G„ Gj, ... G„ , on 
utilise les facteurs premiers p„ Pj, ... Pf et/ou les parametres des restes 
cbinois, les nombres de bases gi, gj, ... go, et/ou les valeurs pubUques Gj, 
G2, ... G« pour calculer : 

- soit les valeurs privees Qi, Q2, ... Q« en extrayant une k ieme 
lacine cairee modulo n de G, , ou en prenant I'inverse d'une k iime racine 

cairee modulo n de Gj , 

- soit les f.m composantes privees Q^j des valeurs privees Q„ Qj, ... 
Q„ , telles que Qi, J s Qj (mod pj) , 

13. Procede selon la revendication 12 tel que pour calciiler les tm 
composantes privees Qi,j des valeurs privees Qi, Q2, ... Qm- 

- on applique la cle ( s, pj> pour calculer z tel que 

z = G,' (mod p^ 

- on utilise les valeurs t et u 

• calculees comme indiqu6 ci-dessus dans le cas ou pj est 

congru a 1 modulo 4 et , Jvi Jv' 

• prises respectivement 6gales a 1 (t=l) et 0 (u=0) dans le cas 

ou pj est congru a 3 modulo 4, 

• • si u est nul on considere I'ensemble des nombres zz tels 

que : 

• • • zz soit egale a z ou tel que 

• • • zz soit egale au produit (mod p) de z par chacune 
des 2""' lacines 2"iemes primitives de I'unite, ii allant de 1 ^ min(k,t) , 

• • si u est positif on considdre I'ensemble des nombres zz tels 
que zz soit egale au produit (mod pj) de za par chacune des 2^ racines 2*^ 
iemes de I'unite, za designant la valeur de la variable w a I'issue de 
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ralgprithme mis en oeuvre dans la revendication 10, 

- on en deduit au moins une valeur de la composante j elle est 
egale k zz lorsque Tequation G, s Q,^ mod n est utilisee ou bien elle est 
egale a Tinverse de zz modulo pj de zz lorsque Tequation G, • Qj^ = 1 . mod 
n est utilisee. 



11 



ooozz soit egale au produit (mod pj) de z par chacime des 
T-" racines 2"iemes priimtives de I'lmite, ii aHant de 1 a miii(k,t) . 
Si 11 est positi^ on consid^re I'ensemble des nombres zz tels que zz soit 
egale au produit (mod Pj) de za par chacune des 2^^ racines 2^^ i&nes de 
I'unit^, za designant la valeiir de la variable w ^ Tissue de I'algoritimie ci- 
dessus deciit 

On en deduit an moins une valeur de la composante Qi. j. EUe est 6gale k zz 
lorsque I'equation = mod n est utiHsfe. ou bien eUe est 6gale a 
I'inverse de zz modulo p^ de zz lorsque l'6qnation . = 1 • mod m est 
utilisee. 

D'aiitres caract6ristiques et avantages de I'invention apparaitront plus 
clairement k la lectiire'de la description suivante de modes de realisation 
preferentiels, donnas k titre de simples exemples iUustratifs et non limitatifs, et 
des dessins annexes, parmi lesquels : 

- les figures lA et ID iUustrant la fonction d^crite pax la suite "Clever au 
carre dans CG(p)", dans les cas ou p est respectivement congru k 3 (mod 
4), 5 (mod 8), 9 (mod 16) et 17 (mod 32) ; 

- la figure 2 iUustre les solutions de I'equation C3a) discutee par la suite ; 

- les figures 3 et 4 illustrent respectivement I'egalite G, = g\ sur un cycle 
avec un facteur premier p congru a 9 (mod 16) et sur une branche avec un 
facteur premier p congru a 65 (mod 128). 




rang impair est un autre element avant le meme raag . Par consequent, la 
cle (2, p) permute Fensemble des {p-l)!!' elements de rang impair. Le 
nombre de cycles de peraiutation depend de la factorisation de (p-l)/!'. 
Par exemple, lorsque (p-l)/2' est un nombre premier ^ il y a un grand 
cycle de permutation comportant p -1 elements. 

Le carre de tout element de rang pair est un autre element dont le rang 
est divise par deux . Par consequent, les elements de rang pair se 
repartissent sur (p-l)/!' branches ; cbaque element non nul de rang 
impair porte une branche de longueur t comportant 2-1 elements, a 
savoir : un elemmt de rang divisible par deux mais pas par quatre, puis, 
si f > 2, deux elements de rang divisible par quatre mais pas par huit, 
puis, si r > 5, quatre elements de rang divisible par huit mais pas par 
seize, puis, si / > 4, huit elements de rang divisible par seize mais pas 
par 32, et ainsi de suite, Les 2"^ extremites de chaque branche sent des 
residus non quadratiques ; leur rang est divisible par 2'. 

Les figures lA h ID illustrent la fonction « elever au carre dans CG{p) » 
par un graphe orient^ oh chacun des p-l elements non nuls du corps trouve sa 
place : les residus non quadratiques sont en blanc et les residus quadratiques en 
noir ; parmi les residus quadratiques, les elements de rang impair sont encercles. 
Ces figures presentent respectivement : 

figure lA : cas oil p est congru k 3 (mod 4) ; 
figure IB : cas oil p est congru a 5 (mod 8) ; 
figure IC : cas oil /? est congru k 9 (mod 16) ; 
figure ID : cas oil p est congru ^17 (mod 32). 
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-g par rapport hp sont diff^rents ; tout residu quadratique de CG{p) a deux 
racines carrees dans CG(p) : I'une est un residii quadratique et I'autre un 
residu non quadratique. D'une part, une des deux Equations (l.a) ou (2.a) a 
deux solutions en . dans CG(p) et I'autre n'en a pas. D'autre part, 
requation (3.a) a deux solutions en x dans CG(p) queUe que soit la valeur 
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Lorsq«e / - 2, , est congru i 5 (mod 8). Deux cas se prisement sdon le 
symbole de Legendre de s par rapport ^p. Lorsqua Je symbole vau. g « 
^ sont deux rfeidus non quadrati<r.es de CG(p) : les trois «quat.ons (l.a). 
a a) et (3.a) n'ont pas de solution en ^ dans CG(p). Lot^que le symbole 
Mg^S son. deux rfeidus quadratiques de CG(p). chaque equation 
(1 a) e. (2.a) » deux sbMons en . dans CG(p) ■, de plus, le rang de « da.^ 
CG<p) est tapair. oe qui impUque que quelle que soit la valeur de k, 
requation (3.a) a quatre soludons en ^ dans CXHp) dontune seule de rang 

La fmur. 2 iUu..r= les =oWons i riquation (3.a) avec * = 6 e. p congru 
» 5 (mod 8). soit , = 2. Remarqucns ,u=. parce que le symbol, de Ugendre de 2 
par rappon ^ P congru . 5 (mod 8) vau, -1.2-" (mod p) es, alo. une racne 

carree de-1. On a done : 

p = 5 (mod 8) ; par consequent : {l\p) = -1 
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La figure 3 illustre = gf sur un cycle avec un facteur premier p congru 
a 9 (mod 16), c'est-a-dire, / = 3, « = 0 ainsi que A s 3. 
On peut noter que : 

£-1 

b^y ^ (mod p) 

si (mod /?) 
b"" s -1 (mod /?) 
Les racines quatriemes primitives de l*unit^ sont : et b^. 
Les racines huitiSmes primitives de i'unitd sont : b^b^^b^ et b^. 
La figure 4 illustre d = sur une branche avec un facteur premier p 
congru k 65 (mod 128), c'est-a-dire, t=6, ainsi que A = 4 et m = 2. 

Voici un premier jeu de cle GQ2 avec ^ = 6, soit v= 64, ?n = 3, soit trois 
nombres de base : = 3^ g'o = 5 et ^3 = 7, et/= 3, soit un module a trois facteurs 
premiers : deux congrus k 3 (mod 4) et un a 5 (mod 8). Notons que g = 2 est 
incompatible avec un facteur premier congru h 5 (mod 8). 




Fig.lB 
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